Plataforma
php
Componente
freescout-help-desk
Corrigido em
1.8.214
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no FreeScout, um sistema de help desk auto-hospedado. Essa falha permite que atacantes injetem scripts maliciosos através da funcionalidade de assinatura de caixa postal, potencialmente comprometendo a segurança dos usuários. As versões afetadas são da 1.0.0 até a 1.8.213. A correção foi disponibilizada na versão 1.8.213.
A vulnerabilidade XSS armazenada no FreeScout permite que um atacante execute código JavaScript arbitrário no navegador de outros usuários. Isso pode ser explorado para roubar cookies de sessão, redirecionar usuários para sites maliciosos, ou até mesmo realizar ações em nome do usuário afetado. A exploração bem-sucedida pode levar ao comprometimento completo da conta do usuário e, potencialmente, acesso a dados confidenciais armazenados no sistema FreeScout. Dada a natureza auto-hospedada do FreeScout, a vulnerabilidade pode ter um impacto significativo em organizações que dependem da plataforma para suporte ao cliente.
A vulnerabilidade foi divulgada em 2026-04-21. Não há evidências públicas de exploração ativa em campanhas direcionadas, mas a natureza da XSS a torna um alvo potencial para ataques oportunistas. A ausência de um KEV listing sugere um risco moderado, mas a facilidade de exploração exige atenção. A falta de um Proof of Concept (PoC) público não diminui a necessidade de mitigação.
Organizations utilizing FreeScout for help desk and shared mailbox management are at risk. This includes businesses of all sizes, particularly those relying on self-hosted deployments. Shared hosting environments where multiple FreeScout instances reside on a single server are especially vulnerable, as a compromise of one instance could potentially impact others.
• wordpress / composer / npm:
grep -r '<script>' /var/www/freescout/app/Http/Controllers/MailboxesController.php
grep -r 'event handler' /var/www/freescout/app/Misc/Helper.php• generic web:
curl -I http://your-freescout-instance/mailboxes/signatures/new | grep -i content-security-policydisclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o FreeScout para a versão 1.8.213 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a aplicação de regras de firewall de aplicativos web (WAF) para bloquear payloads XSS conhecidos. Além disso, revise e reforce as políticas de segurança de conteúdo (CSP) para restringir as fontes de scripts permitidas. Monitore os logs do FreeScout em busca de atividades suspeitas, como tentativas de salvar assinaturas de caixa postal com código HTML incomum.
Atualize FreeScout para a versão 1.8.213 ou superior para mitigar a vulnerabilidade XSS. Esta versão corrige a sanitização de HTML em assinaturas de caixa postal, removendo atributos de controlador de eventos perigosos e garantindo que apenas as tags HTML seguras sejam permitidas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-40568 is a stored cross-site scripting (XSS) vulnerability in FreeScout versions 1.0.0 through 1.8.212, allowing attackers to inject malicious scripts via mailbox signatures.
You are affected if you are running FreeScout versions 1.0.0 through 1.8.212. Verify your version and upgrade immediately if vulnerable.
Upgrade FreeScout to version 1.8.213 or later to resolve the vulnerability. Consider WAF rules as a temporary mitigation.
As of the current disclosure date, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants caution.
Refer to the FreeScout security advisory on their official website or GitHub repository for detailed information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.